-
Juniper
防火墙维护手册
目录
1.
日常维护内容
< br>............................................... .................................................. .
4
1.1.
配置主机名
...........
..................................................
.....................................
4
1.2.
接口配置
............
..................................................
........................................
4
1.3.
路由配置
............
..................................................
........................................
5
1.4.
高可用性配置(双机配置)
....
..................................................
................
7
1.5.
配置
MIP
(通过图形界面配置)
.<
/p>
........................................
.....................
9
1.6.
配置访问策略(通过图形界面配置)
..................................................
..
11
2.
NetScreen
的管理
..............................
..................................................
.........
1
5
2.1.
访问方式
............
..................................................
......................................
1
5
2.2.
用户
..............
..................................................
............................................
1
8
2.3.
日志
..............
..................................................
............................................
1
9
2.4.
性能
..............
..................................................
............................................
2
0
2.5.
其他常用维护命令
........
..................................................
..........................
2
2
3.
其他的配置
................................................ .................................................. ..
2
2
1.
日常维护内容
1.1.
配置主机名
NetScreen
防火墙出厂配置的机器名为
netscreen
,
为了便于区分设备和维护,
在对防火墙进行配置前先对防
火墙进行命名:
Netscreen->
set hostname FW-1-M
FW-1-M >
1.2.
接口配置
配置接口的工作包括配置接口属于什么区域、
接口的
I
P
地址、
管理
IP
地址、
接口的工作模式、接口的一些管理特性。接口的管理
IP
与接口
IP
在同一网段,
用于专门对接口进行管理时用。
在双机的工作状态下,
< br>因为接口的地址只存在于
主防火墙上,如果不配置管理
I
P
,则不能对备用防火墙进行登录了。一般在单
机时,不需要配
置接口的管理
IP
,但在双机时,建议对
trust
区域的接口配置
管理
IP
。接口的一些管理特性包括是否允许对本接口的
IP
进行
ping
、
teln
et
、
WebUI
等操作。
注意
:接口的工作模式可以工作在路由模式,<
/p>
NAT
模式和透明模式。在产品线应
用中
,
透明模式很少用,
而
NAT
模式只有在
trust
到
untrust
的数据流才起作用,
建议把防火墙的所有接口
都配置成
route
的工作模式
,用命
令
set
interface
接口
名
rout
e
配置即可,缺省情况下需要在
trust
区段中的接口使用此命令。
本例子中,配置接口
ethernet2
属于
Untrust
区,
IP
地址为
20
2.38.12.23/28
,
如设置管理方式是
Http
,命令如下:
Ns204 ->
set
interface ethernet1 zone Trust
Ns204 ->
set
interface ethernet1 ip 10.243.194.194/29
Ns204 ->
set
interface ethernet1 nat
Ns204
->
set interface ethernet1
zone Untrust
Ns204
->
set interface ethernet2
ip
202.38.12.23/28
Ns204 ->
set
interface ethernet1 nat
选择接口后按
Edit
键后进入以下页面进行配置接口特性:
透明模式只需要将防火墙的接口配置为
V1-Untrust
或
V1-Trust
< br>等二层的区段,
不需要配置接口的
IP
< br>,设置的命令如下:
FW-1-M ->
set interface ethernet1/1 zone
V1-Unrust
FW-1-M ->
set
interface ethernet1/2 zone V1-Trust
1.3.
路由配置
NetScreen
防火墙有路由功能,
缺省情况下,
内部有
Untrust-
vr
和
Trust-vr
两个路由器,
为了能与外部通讯,需要在这两个虚拟路由器上配置路由。如果
untrust-
vr
没有使用的话,不需要在
untrust-
vr
上配置路由。一般应用中,配
置静态路由即可满足要求。
配置静态路由时,
需要配置目的网络、
下一跳
及出去
的接口。透明模式的防火墙不需要设置路由信息。
本例中,在
trust-vr
上配置默
认的路由下一跳通过
Untrust
接口指向网关
202.38.12.17
Ns204 -> set route
0.0.0.0/0 interface ethernet2 gateway
211.136.202.9
用
WebUI
< br>的方式配置接口,菜单:
Network->routing->routing
entries
按
New
按钮可以配置一个新的路由:
1.4.
高可用性配置(双机配置)
NetScreen
双机的基本配置步骤:
1
、检查双机的版本是否一致,原则上两台防火墙的版本
要求相同。如果版本不
同,建议升级到相同的版本。
防火墙版本的检查命令:
FW-1-M ->get system
Product Name: NetScreen-ISG1000
Serial Number: 0136, Control Number:
00000000
Hardware Version:
3010(0)-(04), FPGA checksum: 00000000, VLAN1 IP
(0.0.0.0)
Software Version: 5.3.0r7.0,
Type: Firewall+VPN
2
、连接
HA
线,把接口划分到
HA
区段中。
HA
线是防火墙的心跳线,
ISG1000
没有专门的
HA
接口,
必须设置接口来并划
< br>分到
HA
区段中。
如果心跳线采
用光纤则只需要设置一个
HA
口和一根心跳线,
如
果采用双绞线作为心跳线,则需要设置两个
HA
口和两条双胶线,
HA
接口之间采
用交叉线相连接。
本例将
Eth1/3
及
eth1/4
设置
为
HA
接口:
FW-1-M ->
set
interface
FW-1-M ->
set
interface
3
、配置
cluster
ID
号
防火墙双机也叫
cluster
,同一个双机的
cluster
号应相同。在两台防火墙
上都用命令配置成同一个
< br>cluster
:
GM-
Web(M)->
set nsrp cluster id 1
则两台防火墙一台会变成
FW-1-M
(M)
,
另一台会变成
FW-1-B
(B)
,
(M)
表示主用,
(B)
表示备用,
(
I
)表示初始化。
注意
:在(
I
)状态下,防火墙是不
能正常工作的,出现此状态时一定要注意。
用
WebUI
方式配置双机的
cluster ID
,菜单:
Network
->
NSRP
->
Cluster
4
、配置
VSD
组及优先级
< br>
虚拟安全设备
VSD
组用于防
火墙工作在
active/active
方式下,缺省情况下<
/p>
两台
NetScreen
防火墙都属于<
/p>
VSD
组
0
,可
以设置
VSD
组的优先级,优先级数值
越小,则越优先。
FW-1-M (M)->
set nsrp vsd-group id 0 priority
50
用
WebUI
< br>的方式配置
VSD
组的优先级,菜单:
< br>Network
->
NSRP
-
>
VSD
Group
,选择
New
或
Edit
菜单
则可。
5
、配置双机同步
< br>配置成双机后,把在防火墙上新增加的配置会自动同步到另一台防火墙上:
注意
:
在配置成双机前的防火墙上的配置不
会主动同步到另一台机器上;
如果在
防火墙
1
上做配置时,防火墙
2
是
down
的,则此时在防火墙
1
上做的配置,是
不会主动同步到另一台防火墙上的。
如果要同步这些异常情况下的配置,
则需要
在备机上运行相应的
命令。
配置
RTO
< br>,
RTO
相当于防火墙上的连接信息,在两台防火墙上分
别配置:
FW-1-M (M)->
set nsrp rto-mirror syc
FW-1-B (B)->
set nsrp rto-
mirror syc
用
WebUI
的方式配置同步,菜单:
Network
->
NSRP
->
Synchron
ization
1.5.
配置
MIP
(通过图形界面配置)
1
、命令行
Ns204
(M)->
255.255.255.255
set
interface
eth0/2
mip
211.136.202.19
host
10.243.194.195
netmask
WebUI
方式
选择菜单:
Network->interfaces
,选
择
eth0/2
,按
Edit
按钮:
再选择
M
IP
进入:
选择
New
选项,配置一个新的
MIP
:
1.6.
配置访问策略(通过图形界面配置)
通过配置访问策略来控制通过防火墙的访问,
1
、配置地址
配
置
地
址
的
对
象
,
可
以
是
单
个
IP
或
一
个
网
段
。
选
择
Objects>Addresses>Configuration
,再选择你配置源
IP
的安全区(或目的地
址的安全区)
,
设置单个
IP
:
设置
IP
段:
2
、配置访问
Service
Netscreen
防火墙中内置了许多的
S
ervice
,如
HTTP
,
FTP
等,你可以在策略中
直接选择需要访问的
Service
,如果你需要设置自定义的
Service
,可按如下步
骤:
进入
Objects>Services>Custom>Ed
it,
本例设置的是
7001
端口(用
于
HTTP
)
当然,你也可以配置地址的组,将你需要的地址放入组中,并
在策略中引用组。
4
、配置策略
本例配置从
Untrust
到
Tru
st
区允许
Any
访问
172.16.1.122
服务器的
HTTP_700
1
服务,已定义
172.16.1.122
地址为
WebServer
。
<
/p>
进入
Policies
,选择源安全区<
/p>
Untrust
到目的安全区
Trust
,并点击有上角
New
6
、配置
MIP
访
问策略
步骤与上相同,本例是从
Un
trust
访问
MIP
地址
202.38.12.17
。
-
-
-
-
-
-
-
-
-
上一篇:公司副总年会发言稿
下一篇:ECI XDM常用告警说明